Программа имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл.
Программа имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE-EXE файл. Имеет размер около 59 КБ. Упакована UPX. Размер распакованного файла около 425 КБ.
При инсталляции троянец копирует себя в системный каталог Windows с именем svcinit.exe:
%System%\svcinit.exe
Затем регистрирует этот файл в ключе автозапуска системного реестра.
В случае Windows NT, 2000, XP:
[HKLM\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon] "Userinit"="%System%\ userinit.exe,%System%\svcinit.exe"
В случае Windows 95, 98, ME:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\RunServices] "SVC Service"="%System%\svcinit.exe"
При каждой следующей загрузке Windows автоматически запустит зараженный файл.
Бэкдор открывает произвольный UDP порт для предоставления злоумышленнику удалённого доступа к заражённой машине.
Бэкдор имеет возможность загружать на заражённую машину любые файлы, запускать их и удалять, завершать различные процессы и получать информацию с зараженного компьютера.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках